Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: mein hijackthis log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.11.2006, 21:31   #1
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



hi

im vorraus schonmal 1000 dank, dass ihr euch die arbeit macht mein (und die der vielen anderen^^) durchzuschauen!

mein hauptproblem besteht darin, dass spybot bei mir immer den zlob.downloader findet und nicht löschen kann, weder im abgesichterten modus noch vor dem kompletten systemstart, aber seht selbst:


Logfile of HijackThis v1.99.1
Scan saved at 22:09:58, on 19.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate-SPF\Smc.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\PGPserv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp_lite\winamp.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\Smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite5\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} -

C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C581579D-88E3-4B81-BBEF-5B460BCE730E}: NameServer =

192.168.2.1
O20 - AppInit_DLLs: wbsys.dll OCMAPIHK.DLL
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame

Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION -

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. -

C:\Programme\Sygate-SPF\Smc.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol

120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner -

C:\WINDOWS\System32\UAService7.exe



danke danke

mfg smitfraud
__________________
C&C 1 für lau

Alt 19.11.2006, 22:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Da sind einige äußerst bedenkliche Einträge bei:
Zitat:
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
Hinzu kommt, dass Dein System ungepatcht ist:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Hier fehlt mindestens das SP2!
Ich befürchte, das System ist nicht zu retten. Aber mach mal erst nen Check mit Blacklight und poste das Ergebnis.
__________________

__________________

Alt 19.11.2006, 22:47   #3
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



kam bisher ohne sp2 aus, aber kann wenns hilft gern nachrüsten.


den ie benutz ich nie, bin firefox freund


blacklight werd ich gleich mal laden...

danke schonmal
__________________
__________________

Alt 19.11.2006, 22:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Nein, ohne Upates kommst Du bestimmt nicht aus.
Meinst Du die sind aus Spaß da, weil die MS-Mitarbeiter nichts zu tun haben und deswegen aus Langeweile irgendwelche Updates releasen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.11.2006, 23:01   #5
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



Zitat:
Zitat von cosinus Beitrag anzeigen
Nein, ohne Upates kommst Du bestimmt nicht aus.
Meinst Du die sind aus Spaß da, weil die MS-Mitarbeiter nichts zu tun haben und deswegen aus Langeweile irgendwelche Updates releasen?
no comment.


blacklight


bis ich das sp2 hab dauerts noch 1,5 stunden... ( 384er kaff dsl :/ )

bekommt man die restlichen updates auch ohne automatisches update (ich denke mal ja, aber woher)/ andersherum: hat einer ne lieblings windows patches seite?


danke

__________________
C&C 1 für lau

Alt 19.11.2006, 23:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Okay, Blacklight zeigt schon mal nichts an.
Lass mal die beiden erwähnten Dateien bei Jotti oder Virustotal auswerten. Poste das komplette Ergebnis, also auch die Infos über Dateigröße, md5 und sha1. wineil32.dll musst Du per Suchfunktion ausfindig machen, da hier der Pfad nicht gegeben ist.
Zitat:
bekommt man die restlichen updates auch ohne automatisches update (ich denke mal ja, aber woher)/ andersherum: hat einer ne lieblings windows patches seite?
Ja, aber was hast Du gegen die automatischen Updates?
Update-Pakete bekommst Du z.B. bei WinBoard.
__________________
--> mein hijackthis log

Alt 19.11.2006, 23:21   #7
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



hm... kann die beiden dateien nicht finden.

auch steht bei beiden im HijackThis log file missing...

n tip?

Zitat:
Ja, aber was hast Du gegen die automatischen Updates?
dass sie automatisch sind... und ich kontakt zu microsoft aufnehmen muss^^ nicht dass die mir nachher noch auf meinem rechner rumschnüffeln/ka ob die das überhaupt können...


naja, werds nach dem update einfach mal einschalten *überredet*
__________________
C&C 1 für lau

Alt 19.11.2006, 23:38   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Zitat:
hm... kann die beiden dateien nicht finden.
auch steht bei beiden im HijackThis log file missing...
Ja, schon klar. Hijackthis ist da in der Richtung manchmal etwas buggy, zeigt File missing an, obwohl sie doch noch da ist. Stelle sicher, dass ALLE Dateien auch angezeigt werden, also die versteckten und die geschützten Systemdateien. Schädlinge geben sich gern Systemattribute um alles schwieriger zu gestalten.
Zitat:
dass sie automatisch sind... und ich kontakt zu microsoft aufnehmen muss^^ nicht dass die mir nachher noch auf meinem rechner rumschnüffeln/ka ob die das überhaupt können...
Das ist eine seltsame Einstellung. Wenn Du MS nicht traust, warum setzt Du denn Windows als BS ein?
Im Übrigen sind diese Schüffeleien seitens MS m.W. nicht bewiesen worden, alles sind nur Behauptungen, die irgendwer mal gemacht hat. Ich empfehle Dir die automatischen Updates zu aktivieren, so verpasst Du keine wichtigen Patches.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.11.2006, 23:51   #9
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn Du MS nicht traust, warum setzt Du denn Windows als BS ein?
war bisher nur zu faul das in die tat umzusetzen... aber hab schon oft mit dem gedanken gespielt


hab nochmal gesucht, alles sichbar war vorher auch schon eingestellt...



bin da etwas ratlos... wie kann HijackThis die überhaupt finden,wenn sie nicht da sind... oder zeigt mir hjt nur den autostarteintrag an?

danke
__________________
C&C 1 für lau

Alt 19.11.2006, 23:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Zitat:
bin da etwas ratlos... wie kann HijackThis die überhaupt finden,wenn sie nicht da sind... oder zeigt mir hjt nur den autostarteintrag an?
Jepp. HJT untersucht bestimmte Bereiche in der Registry.
Machen wir das anders: Folge dem eScan in meiner Sig und klapper das ab.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.11.2006, 00:18   #11
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



gut, wird gemacht...

danke für deine geduld
__________________
C&C 1 für lau

Alt 20.11.2006, 14:33   #12
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



schön gründlich das programm, feine sache!

hat so einiges gefunden...

#1 Mon Nov 20 01:54:11 2006 => File C:\WINDOWS\System32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus!

#2 Mon Nov 20 01:54:18 2006 => Offending file found: C:\WINDOWS\System32\adservice.bat
Mon Nov 20 01:54:18 2006 => System found infected with zlob Trojan-Downloader (adservice.bat)!

#3 Mon Nov 20 01:54:52 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Mon Nov 20 01:54:52 2006 => System found infected with winfixer/errorsafe Adware (support.url)!

#4 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\setup1.exe
Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\setup1.exe)!

#5 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\st6unst.exe
Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\st6unst.exe)!

#6 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\System32\cmd.ftp
Mon Nov 20 01:54:54 2006 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (C:\WINDOWS\System32\cmd.ftp)!

#7 Mon Nov 20 02:38:54 2006 => File C:\Dokumente und Einstellungen\***\Eigene Dateien\intcodec-v6.180.exe infected by "Trojan-Downloader.Win32.Zlob.ain" Virus!

#8 Mon Nov 20 02:38:55 2006 => File C:\Dokumente und Einstellungen\Volker\Eigene Dateien\intcodec-v6.450.exe infected by "Trojan-Downloader.Win32.Zlob.aii" Virus!

#9 Mon Nov 20 04:19:41 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus!



soll ich dateien nun wie du es in deinem (übrigens tollen) escan tutorial beschreibst mit killbox löschen?

und dann?

oder hätte ich sie schon im abgesicherten löschen sollen?

sp2 hab ich nun auch, soll ichs gleich oder danach aufspielen(ich tippe mal auf sofort ;] )


thx
__________________
C&C 1 für lau

Alt 20.11.2006, 16:13   #13
smitfraud
 
mein hijackthis log - Standard

mein hijackthis log



hmm... dank deinem guten link komme ich zur erkenntnis, dass ich meinen rechner recht bald formatieren sollte

nur wie kann ich meine wichtigen daten sichern, ohne auch die sicherung zu kompromittieren?
__________________
C&C 1 für lau

Alt 20.11.2006, 16:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein hijackthis log - Standard

mein hijackthis log



Sichere nur wichtige Datendateien, keine ausführbaren. Die solltest Du gefahrlos in das neu aufgesetzte System einbinden können.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu mein hijackthis log
appinit_dlls, cdrom, dateien, explorer, firefox, firewall, fraud, hijack, hijackthis, hijackthis log, hotkey, icq, icqtoolbar, internet, internet explorer, log, logfile, löschen, messenger, microsoft, mozilla, mozilla firefox, problem, programme, smitfraud, software, system32, tuneup utilities, unknown file in winsock lsp, urlsearchhook, windows, windows xp, winsock



Ähnliche Themen: mein hijackthis log


  1. Ist mein PC in Ordnung? (HijackThis Log)
    Log-Analyse und Auswertung - 04.10.2015 (9)
  2. Malwarebytes und hijackthis - mein System wird immer langsamer + mein ESET mag nicht mehr
    Log-Analyse und Auswertung - 07.06.2012 (8)
  3. Mein Post von HiJackThis
    Log-Analyse und Auswertung - 24.01.2011 (5)
  4. Mein HijackThis log, wie bekomm ich mein System sauber?
    Log-Analyse und Auswertung - 29.07.2010 (6)
  5. Mein hijackthis file
    Mülltonne - 31.12.2006 (0)
  6. Mein Hijackthis Logfile
    Mülltonne - 18.08.2006 (3)
  7. Mein Hijackthis Log
    Log-Analyse und Auswertung - 14.06.2006 (7)
  8. Mein HiJackThis Log
    Log-Analyse und Auswertung - 03.03.2006 (4)
  9. mein hijackthis log...
    Log-Analyse und Auswertung - 09.01.2006 (4)
  10. Mein Hijackthis-log
    Log-Analyse und Auswertung - 10.11.2005 (1)
  11. Mein HiJackThis Log
    Log-Analyse und Auswertung - 22.08.2005 (4)
  12. Mein HiJackThis Logfile
    Log-Analyse und Auswertung - 19.05.2005 (5)
  13. mein erstes hijackthis ...
    Log-Analyse und Auswertung - 05.04.2005 (1)
  14. mein hijackthis log
    Log-Analyse und Auswertung - 26.03.2005 (1)
  15. Mein hijackthis log mein pc spinnt schon seit 2 wochen alles ist langsam bitte help
    Log-Analyse und Auswertung - 14.12.2004 (2)
  16. Mein HiJackThis Log
    Log-Analyse und Auswertung - 06.09.2004 (4)
  17. Mein HiJackThis-log
    Log-Analyse und Auswertung - 26.07.2004 (2)

Zum Thema mein hijackthis log - hi im vorraus schonmal 1000 dank, dass ihr euch die arbeit macht mein (und die der vielen anderen^^) durchzuschauen! mein hauptproblem besteht darin, dass spybot bei mir immer den zlob.downloader - mein hijackthis log...
Archiv
Du betrachtest: mein hijackthis log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.